適用於 SAP 應用程式的 Microsoft Sentinel 解決方案：部署概觀

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用適用於 SAP 應用程式的 Microsoft Sentinel 解決方案，透過 Microsoft Sentinel 監視 SAP 系統，偵測 SAP 應用程式商業規則和應用層的複雜威脅。

本文介紹 SAP 應用程式部署的 Microsoft Sentinel 解決方案。

解決方案元件

適用於 SAP 應用程式的Microsoft Sentinel 解決方案包含資料連接器，其會從 SAP 系統收集記錄，並將其傳送至您的Microsoft Sentinel 工作區，以及現成的安全性內容，協助您深入瞭解組織的 SAP 環境，並偵測及回應安全性威脅。

Data connector (資料連接器)

Microsoft Sentinel for SAP 數據連接器是安裝在 Linux 虛擬機、實體伺服器或 Kubernetes 叢集上做為容器的代理程式。 代理程式會從整個 SAP 系統環境收集所有上線 SAP SID 的應用程式記錄，然後將這些記錄傳送至 Sentinel Microsoft Log Analytics 工作區。

例如，下圖顯示具有生產和非生產系統之間分割的多重SID SAP 環境，包括 SAP Business Technology Platform。 此映像中的所有系統都會上線至 SAP 解決方案Microsoft Sentinel。

代理程式會連線至您的 SAP 系統，以從中提取記錄和其他資料，然後將這些記錄傳送至您的 Microsoft Sentinel 工作區。 若要這樣做，代理程式必須使用專為此目的建立的使用者和角色，向SAP系統進行驗證。

Microsoft Sentinel 支援一些選項來儲存代理程式組態資訊，包括 SAP 驗證秘密的設定。 哪一個選項的決策可能取決於您部署 VM 的位置，以及您使用的 SAP 驗證機制。 支持的選項如下所示，依喜好設定順序列出：

• 透過 Azure 系統指派的受控識別存取 Azure 金鑰保存庫
• 透過 Microsoft Entra ID registered-application 服務主體存取的 Azure 金鑰保存庫
• 純文字「設定檔」

您也可以使用 SAP 的安全網路通訊 （SNC） 和 X.509 憑證進行驗證。 雖然使用SNC可提供較高層級的驗證安全性，但並非所有案例都可行。

安全性內容

適用於 SAP 應用程式的 Microsoft Sentinel 解決方案包含下列類型的安全性內容，可協助您深入瞭解組織的 SAP 環境，並偵測及回應安全性威脅：

• 威脅偵測的分析規則 和 監看清單 。
• 方便數據存取的函式 。
• 用來建立互動式數據視覺效果的活頁簿 。
• 自定義內建解決方案參數的監看清單 。
• 您可以用來自動回應威脅的劇本 。

如需詳細資訊，請參閱 sap 應用程式的Microsoft Sentinel 解決方案：安全性內容參考。

部署流程和角色

部署適用於 SAP 應用程式的Microsoft Sentinel 解決方案牽涉到數個步驟，而且需要跨多個小組共同作業，包括 安全性、 基礎結構和 SAP BASIS 小組。 下圖顯示針對 SAP 應用程式部署 Microsoft Sentinel 解決方案的步驟，並指出相關小組：

建議您在規劃部署時涉及所有相關小組，以確保已配置工作，且部署可以順暢地移動。

部署步驟包括：

1. 檢閱為 SAP 應用程式部署 Microsoft Sentinel 解決方案的必要條件。 某些必要條件需要與您的基礎結構或 SAP BASIS 小組協調。

2. 下列步驟可以平行執行，因為它們牽涉到不同的小組，而且彼此不相依：

   1. 從內容中樞部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案。 此步驟是由 Azure 入口網站 的安全性小組所處理。

   2. 為Microsoft Sentinel 解決方案設定 SAP 系統，包括設定 SAP 授權、設定 SAP 稽核等等。 建議您讓SAP BASIS小組完成這些步驟，而我們的檔包含SAP文件的參考。

3. 藉由部署數據連接器代理程式容器來連線 SAP 系統。 此步驟需要安全性、基礎結構和 SAP BASIS 小組之間的協調。

4. 啟用 SAP 偵測和威脅防護。 此步驟由 Azure 入口網站的安全性小組處理。

額外的選項包括：

• 收集 SAP HANA 稽核記錄
• 手動部署 SAP 連接器

停止 SAP 資料收集

如果您需要停止Microsoft Sentinel 收集 SAP 數據，請停止記錄擷取並停用連接器。 然後移除 SAP 系統上所安裝的額外使用者角色和任何選擇性的 CR。

如需詳細資訊，請參閱 停止 SAP 資料收集。

相關內容

如需詳細資訊，請參閱

• 關於Microsoft Sentinel 內容和解決方案。
• 監視 SAP 系統的健康情況和角色
• 更新 Sentinel 的 SAP 資料連接器代理程式Microsoft

後續步驟

檢閱必要條件，開始部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案：

先決條件